Детальный разбор Firewall и NAT в MikroTik

Рет қаралды 29,794

Күн бұрын

Пікірлер: 103

@ZeusMoscow 10 ай бұрын

Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.

@Garry_Son 21 күн бұрын

Краткость-сестра таланта.Это про вас.Жду новые видео в вашей озвучке

@mihailan8711 7 ай бұрын

Лучшее объяснения, что можно только встретить в инете.

@aib0lit 8 ай бұрын

Супер объяснение!!!! СПАСИБО.

@Intell_iGent Ай бұрын

Благодарю автора за качественное видео! Но позволю сделать небольшое замечание: правильно говорить не СиСиаШ, а эСэСаШ. Всех благ!

@НиколайПронин-щ7п 6 ай бұрын

Здравствуйте, отличный материал и подача тоже отличная, спасибо! Одно не раскрыто, Firewall с IPV6... если бы его настройки ещё бы дали, а не просто выключить, то было бы супер, так как например у меня провайдер даёт ipv6 и он нормально работает.

@bushcraft.azerbaijan 4 ай бұрын

обяснил лучше чем Роман Козлов)))👍

@SWS-LINK 6 ай бұрын

Норм. Просто совет - первым правилом открывайте себе явный вход на железку. Я ещё поднимаю l2tp ipsec на wan. Можно случайно заблочить себе доступ и придётся ехать в незапланированную командировку.

@Mjasnik21 Ай бұрын

Автор, на удалённом роутере ранее у меня стояли стандартные правила для Винбокс -для локалки и адрес листа без инверсии (!) и reject, a accept. И всё работало. Изменил как вы порекомендовали, после чего стало невозможно прицепиться по Винбокс к своему удалённому роутеру, дай Бог, чтоб он работал до весны нормально, пока я не приеду к нему и не верну всё как было.

@Mjasnik21 Ай бұрын

удалось вернуть все назад через romon другого микротика в удалённой сети

@qa337 Ай бұрын

@@Mjasnik21))

@Shurka2709 9 күн бұрын

У Mikrotik есть средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Вы включаете этот режим через соответствующую настройку в WinBox Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру. В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.

@Mjasnik21 9 күн бұрын

@@Shurka2709 Спасибо большое, за информацию.

@KlimenkoEY 16 күн бұрын

На 5 минуте. провайдер отбрасывает пакет - это верно. но он его отбрасывает не потому что source IP не соответствует тому который он выдал роутеру, а потому что этот source IP находится в диапазоне частных (серых) IP-адресов, предназначенных для локальных сетей и запрещённых к маршрутизации в интернет. Поэтому такие пакеты помечаются как invalid по причине source IP.

@pa4h1337 8 ай бұрын

Спасибо тебе большое! Единственные нормальные видео по настройке на Юутбе!

@KlimenkoEY 16 күн бұрын

Насчёт masquarade и src-nat. Если вы получаете от провайдера не один внешний IP, а целую подсеть (2, 4, 8 адресов), то все эти адреса прописываются в IP - Addresss на интерфейсе микротика в сторону провайдера. и дальше с помощью src-nat вы можете конкретный компьютер/группу компьютеров из локальной сети отправить наружу с конкретным внешним IP-адресом из подсети провайдера, указав его в поле To Address. Кроме того самим вендором mikrotik в вики-микротик указывается что при наличии статики нужно использовать src-nat. имхо, автору виднее.

@zh_sanek8658 8 ай бұрын

Автору: Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком. Читателям комментариев: Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.

@DavidCohen-ux8tz 11 ай бұрын

Молодец ! Классно обьясняеш, не то что некоторые !

@privaltv 10 ай бұрын

семен, плес

@jahongirnematov9117 4 ай бұрын

спасибо

@mbartuli 10 ай бұрын

Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!

@romroma3219 11 ай бұрын

Красава, все круто обьясняешь, так держать. Очень редко встретитшь когда так разжовывают, спасибо большое

@adamdark1200 9 ай бұрын

Интересно. Все доходчиво!

@СергейКолосков-щ1у 11 ай бұрын

Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.

@СергейКолосков-щ1у 11 ай бұрын

Досмотрел видео дальше и понял в чем я ошибся.

@subz3bra936 6 ай бұрын

сисиаш))) жжошь) но в целом популярно объясняешь

@sergey1018 11 ай бұрын

А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.

@SWS-LINK 6 ай бұрын

Это одно и тоже. Но правильней в firewall прописывать всё, чтобы сразу видно было что- кому- куда.

@SETVERSE 10 ай бұрын

А если нет пункта 20:43 Srс. Address List?

@loskiq 10 ай бұрын

значит этот пункт будет во вкладке Advanced. в новых версиях RouterOS разработчики изменили порядок

@SETVERSE 10 ай бұрын

@@loskiq спасибо!

@medovik96 10 ай бұрын

Продолжай в том же духе!!!

@haykpapyan8649 11 ай бұрын

Спасибо. Все очень понятно!

@privaltv 10 ай бұрын

семен, плес

@aakozlov85 2 ай бұрын

привет. спасибо за ролик! было познавательно. подскажи, у меня Router OS 7.16 и нет меню CapsMan как у тебя в видео. ты какой-то отдельный пакет доустанавливал?

@antoniomax3163 14 күн бұрын

А можно подробный обзор базового фв?

@immickful 7 ай бұрын

34:59 А почему Вы не указываете значения для In. Interface и Out. Interface?

@loskiq 7 ай бұрын

если указан dst address, можно не указывать in interface, так как все равно понятно куда попадает пакет перед NAT'тированием. да, конечно можно указать еще и in interface, но ничего не изменится, правило в любом случае будет отрабатывать корректно.

@v6661977 11 ай бұрын

Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.

@SWS-LINK 6 ай бұрын

Для этого маскарад и используют😂

@v6661977 6 ай бұрын

Чем поможет маскарад - когда изменится айпишник от провайдера (если он динамический), который ты уже "забил" руками в Dst. Address? :)

@SWS-LINK 6 ай бұрын

@@v6661977 маскардинг как раз и применяется на динамических ип -).

@ДеникБ-з4е 11 ай бұрын

Отличный видос, продолжай!

@privaltv 10 ай бұрын

семен, плес

@Sergi-US 3 ай бұрын

Спасибо БРО!

@MGTOW_Element 10 ай бұрын

Лично я бы начал с запрета все, кроме. А потом уже открывал интернет в локалку.

@SERVICE_KARELIA 5 ай бұрын

12:50 to ports для чего?

@IvaevR 6 ай бұрын

Есть офис. Инет по статическому ip. Настраиваю l2tp чтобы сотрудники могли подключиться из дома и работать. У меня в офисе 2 сети. Без интернета и с интернетом. Microtik по lan врублен в сеть без инета. Так как большинство программ на компах без интернета. Проблема в том что если на инет компе настроить в офисе, то он подключается. А если из дома, то не подключается, правила вроде верные. Где копать? А ещё есть ситуация, всё коннектится, но не пингуется и соответственно при подключении rdp не видит комп.

@malboroman4540 4 ай бұрын

Вероятно нет маршрута между сетями, находящимися по обе стороны L2TP

@IvaevR 4 ай бұрын

@@malboroman4540 всё решилось, после настройки маскарада))

@desantovih 8 ай бұрын

круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))

@loskiq 7 ай бұрын

для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.

@immickful 7 ай бұрын

Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?

@loskiq 7 ай бұрын

все верно, пакеты бегают, исходя из таблицы маршрутизации, а затем, когда установилось какое-либо подключение с каким-либо ip-адресом в интернете, добавляется запись в таблицу connections и устанавливается состояние этого соединения. эта таблица нужна для корректной работы NAT, но она никак не связана с таблицей маршрутизации.

@chaoslegion7051 4 ай бұрын

Почему многие для проброса используют netmap для проброса? Почему его нельзя использовать, если он работает

@DeepHouse29 11 ай бұрын

Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???

@EmptyUser 9 ай бұрын

поищи информацию, как писать скрипты на микротике в автозагрузку. Это, вероятнее всего, решит твою проблему)

@immickful 7 ай бұрын

В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?

@loskiq 7 ай бұрын

нет, к счастью это не так. на всех администрируемых мной mikrotik'ах, где настроен wireguard, включен fasttrack connection. никаких проблем не наблюдается. такая схема работает уже второй год.

@levapcamaro1364 8 ай бұрын

Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.

@loskiq 7 ай бұрын

если CAPsMAN настроен внутри Вашей локальной сети на локальных интерфейсах, да, уберегут

@kutycr Жыл бұрын

отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.

@loskiq Жыл бұрын

спасибо! да, такое в планах тоже есть. обязательно сделаю!

@romroma3219 11 ай бұрын

Поддерживаю вопрос

@АндрейКантор-е9ь 11 ай бұрын

@@loskiq Ну, тогда уж дополню: с балансировкой нагрузки при работе сразу от двух провов.)

@СтаниславАнтонов-г8й Жыл бұрын

при включении fasttrack у вас не будут работать qos

@loskiq 11 ай бұрын

да, не будет, но большинство не парятся с настройкой qos, тем более, если это обычный домашний роутер

@KlimenkoEY 16 күн бұрын

19 минута. тоесть всем клиентам которые сидят на провайдере в другом городе тоже можно на Ваш микротик? раз всю подсеть провайдера открыли. это точно про безопасность?)

@ProficusLets 11 ай бұрын

Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!

@privaltv 10 ай бұрын

семен, плес

@joseapachi 5 ай бұрын

бро помоги плиз. dhcp client не выдает ip. постоянно стоит searching

@АнтонРощупкин-ц5х 3 ай бұрын

привет, можно показать как все это сделать на ipv6? + НАСТРОКА Firewall ДЛЯ НЕГО!!!!

@СергейГород_ко 4 ай бұрын

Як зробыты прокси на p2p microtik

@СергейКолосков-щ1у 11 ай бұрын

По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.

@krabik9785 5 ай бұрын

пробрасываю порт как на всех гайдах, захожу на 2ip чтоб проверить порт, а он закрыт, хотя в роутере пакеты проходят, у провайдера узнал что данные порты не заблочены, 100раз уже все потыкал, как то 1 раз сработало и потом обтъебнуло, внешний ip у меня статичен, в винде пробросил что tcp что udp

@chaoslegion7051 4 ай бұрын

Вначале проверь без ,dst и src

@krabik9785 4 ай бұрын

@@chaoslegion7051 уже все прокинулось, спасибо)

@neblogervovan 8 ай бұрын

Классно! Спасибо огромное! А как поступать с пробросом портов если у провайдера меняется IP?

@zh_sanek8658 8 ай бұрын

либо покупать у провайдера статический ip (я плачу Ростелекому +150р к тарифу не дорого) . или изучите ddns

@0_AVG 6 ай бұрын

👏💯🥇🔥

@MGTOW_Element 10 ай бұрын

18:55 не секюрно. От слова совсем. Пускать к настроке роутера из вне - плохая привычка. Как минимум, в тоннель ВПН. А вот к впн по белому списку.

@KlimenkoEY 16 күн бұрын

22 минута. reject - tcp reset отнимает больше процессорных ресурсов чем проверять established и related пакеты

@МаксимЖуков-ш6н 8 ай бұрын

Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе

@loskiq 7 ай бұрын

этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.

@KlimenkoEY 16 күн бұрын

28 минута. Что? Какие широковещательные пакеты в IPv6. Вы о чём?

@andreyandrey6030 6 ай бұрын

Молодец! Хорошо объясняешь.. Пропадает талант преподавателя..

@nikitaosotskiy8368 4 ай бұрын

Первые пять минут история о том как провайдер отбрасывает пакеты с src=192.168.88.253 потому что ожидает там какой-то другой ну прям супер бред))) Тут надо было рассказать про адреса для локальных сетей, и про то, что оборудование провайдера не может ответить на адрес которого нету в сети, отсюда и тайм-аут соединения при пинге. Ну и Нат маскарад нужен, чтобы в пакетах src подменять на свой внешний ip, который уже будет доступен. Вот и весь рассказ. Эх. Все и так схавали судя по коментам

@loskiq 4 ай бұрын

когда роутер абонента подключается к интернету, на сервере (брасе) провайдера создаётся виртуальный интерфейс и автоматически прописывается маршрут на этом виртуальном интерфейсе, обычно с 32-м префиксом (смотря какую сеть провайдер выделит абоненту). простым языком это означает, что ни на какой другой ip-адрес, с которого роутер абонента будет слать пакеты, сервер не ответит, потому что попросту не найдёт у себя маршрут на данном виртуальном интерфейсе. и дело тут не в том, что адреса 192.168.88.253 нет в сети. если на то пошло, эта сеть (192.168.88.0/24) может использоваться на сервере для других нужд, и в данной сети может быть какое-то оборудование с адресом 192.168.88.253. получается, что этот адрес в сети, но сервер провайдера всё равно ведь не ответит на данный адрес тому абоненту, который будет слать пакеты с него, потому что будет смотреть только в свою таблицу маршрутизации на том виртуальном интерфейсе, который создан между сервером и роутером абонента. Вам бы немного подучить маршрутизацию)

@nikitaosotskiy8368 4 ай бұрын

@@loskiq вы описали частный случай. Я очень хорошо понимаю как происходит маршрутизация, иначе бы не писал. Но спорить просто лень, пусть каждый останется при своём)

@SsergeySav Жыл бұрын

А где мой комментарий?

@loskiq Жыл бұрын

хм, не знаю. я ничего не удалял. что писали?

@SsergeySav Жыл бұрын

@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает

@SsergeySav Жыл бұрын

скорее всего youtube не пропустил. Хотя не понимаю из-за чего. Вроде ничего не было из-за чего можно было бы не пропустить сообщение

@loskiq Жыл бұрын

да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.

@privaltv 10 ай бұрын

кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков

@MGTOW_Element 10 ай бұрын

А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить. Видео может быть полезным в случае, если хочешь узнать как другие настраивают.

@privaltv 10 ай бұрын

@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору

@MGTOW_Element 10 ай бұрын

@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. И кто сказал, что я автор видео?🤔 Я настроил свои роутеры по статьям. По видео это сделать невозможно.

@privaltv 10 ай бұрын

@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого. Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние. >Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. Сложно понять что ты хотел сказать этим несвязным бредом.

@vitamoore 4 ай бұрын

Ну так сделай лучше. Есть прекрасное выражение : критикуешь - предлагай 😅